合规市场真相揭秘：为何数据安全赛道雷声大雨点小？

【2】

上述那个朋友讲：合规也可以是市场驱动的，这让我反思，我想是我们对合规概念的范畴没有达成共识。

如果按照这个逻辑，那么他谈论的“合规”，很可能是“广义的合规”，如果按照广义合规的逻辑，那么合规必然包括四部分：国家合规、行业合规、企业合规、个人合规。

图：合规的层次

如果按照“广义合规”逻辑来解释市场的话，那其实所有的市场，都是合规的市场。

如果用这么泛化的概念来描述市场，其实对分析市场是没有什么帮助的,因为你得不出更加有效的结论和更加深刻的洞察。

广义的合规，其实是把“需求”当成了“合规”。

我们平时讨论的合规，其实是“狭义的合规”，即把等保条例要求的国企安全市场和分保条例要求的涉密安全市场统称为合规市场。

甚至在大多数的语境下，我们谈论的合规市场，指的是更狭义的等级保护条例驱动下的安全市场。

图：等保2.0体系框架

这时，我看到了一个朋友发来的一个截图，非常传神地解释了什么是“合规产品”。

图：合规的产品

该图的标题是：

我开的公司需要通过消防设施检查，在淘宝买了一批消防斧子怎么一砍就断?

下面的高赞回答是:

朋友，你对斧头一无所知，而且，严重缺乏购物常识!

你用18元买了一把应付消防检察的斧子，你就把它挂在应该有的地方，应付完就没事了。我相信这把18元斧可以很好地完成这个任务。

但你认真了，看到了斧子你就想要他又便宜又能应付真正的场景，在火灾发生时能劈啥断啥，这就是在为难18元斧了，它被造出来的目的不是干这事的。

随便去问问消防队使用的斧头规格和要求，按这规格去买，大几百上千都有可能，保证符合实务，至少消防队员顺手拿来砍劈绝无问题。当然，你要按需求去买，也行，但按行情，小几百也是跑不掉的。

所以你看，当我们在讨论“合规市场”时，其实讨论的是“合规产品”；当我们讨论“合规产品”时，其实讨论的是产品的“使用目的”。

如果从“目的”出发，我带你看看真实的“合规市场”。

咱就说等保合规里的三级市场，你如果想拿到等保三级的证书，至少有三种方法：

一是直接买证，我称之为“假过”。就是你直接掏8万块钱，随便找一家测评机构，他们带着设备到你的系统现场，等你拿到证后再把设备撤走，这样你啥都不用管就有了一个等保三级的证书。

二是就是上面例子所说的“应检”。你可以花20万块钱，其中拿出15万买一台等保一体机，剩下的花5万过测评，这样你同样可以拿到等保三级证书，而且设备资产还是你的，只是这台设备除了能够应付等保三级检查外，实际根本用不了。

三是真用。如果你真的想既能过等保三级又能真正发挥实用价值，那基本一套符合等保三级的实用安全套装要100万往上了。

所以你看，不是合规没用，而是如果以“拿证”为目的的话，安全就是一个价值8万块或20万的没用玩意儿。

所以我们就产生了一个新疑问。

因为等保合规只要求了功能的符合度、并没有要求功能的效果，只要有就是合规。而合规里不要求的功能，也不是检查项，你做了也是徒增的成本，所以长此以往，产品就会同质化。

你再想想其他行业，大家的产品都是符合国标的，但是只符合国标的产品是不可能卖出去的,你还必须要有特色。同样是馒头，你还得是戗面的、豆沙的、加花的等等。

你再想想，如果只是为了吃饱，馒头有必要搞那么多花样么？之所以馒头也要搞出那么多花样来，那肯定是馒头本身已经超越了“填饱肚子”这个基本的需求。

如果安全市场大家都认可“同质化”这个结论，那么必然是客户只有“拿证”这个基本的需求，没有更高级的需求了，否则就不可能同质化，因为你在世界上就不可能找到真实需求是完全相同的两个人。

所以合规早期看是创造了需求，他让没有需求的单位开始为了“怕检查”而额外花钱。

但是长期看，如果客户不是因为“想安全”而花钱，那这个需求就是“假需求”，就是国家给这个行业的补贴。

所以当我们讨论“合规”时，其实我是想说，创业公司还是要远离那些只有“拿证”需求的客户，哪怕项目金额很大也不要。

但是如果你把客户写入企业规范里的“实战化需求”也当成一种“合规”的话，很明显我指的不是这种情况。

所以，当我们讨论“合规”的时候，我们其实讨论的是安全建设的目的。该目的只有两个：一是为了“怕检查”、二是为了“想安全”。

如果你的合规是以“想安全”为目的，那就是我错了。

如果对我描述的安全世界感兴趣，可以翻翻“没有名人作序和题词”的我为你写的一本“纯粹的安全认知之书”：

点击文末【阅读原文】,看到一个完整的安全系统